AV voor SaaS-bedrijven: specifieke clausules

Direct antwoord

Algemene voorwaarden voor SaaS-bedrijven wijken fundamenteel af van standaard dienstverlener-AV. Verplichte onderdelen in 2026: SLA met meetbare uptime (meestal 99,9%), verwerkersovereenkomst conform AVG artikel 28, data-portabiliteit bij beëindiging, onderhoudsvensters en aansprakelijkheidsbeperking afgestemd op cloud-risico's. Zonder deze elementen lopen SaaS-ondernemers vermijdbare contract- en AVG-risico's.

SaaS-bedrijven leveren software als dienst waarbij klanten data toevertrouwen aan de cloud — een fundamenteel andere rechtsverhouding dan standaard dienstverlening. Dit artikel maakt onderdeel uit van de complete gids voor het opstellen van algemene voorwaarden en behandelt de clausules die specifiek voor SaaS gelden, waaronder SLA, verwerkersovereenkomst en data-exit.

Waarom zijn SaaS-AV fundamenteel anders dan standaard dienst-AV?

SaaS (Software-as-a-Service) combineert drie elementen die bij reguliere dienstverlening niet samenkomen: doorlopende software-beschikbaarheid als dienst, verwerking van klantgegevens in de cloud, en afhankelijkheid van subverwerkers (hostingpartijen, mailproviders, analytics). Standaard dienstverlener-AV dekken deze dimensies niet of onvolledig. Voor een bredere context over dienst-AV, zie AV voor dienstverleners.

De rechtsverhouding tussen SaaS-leverancier en klant wordt grotendeels beheerst door de overeenkomst van opdracht (artikel 7:400 BW), aangevuld met de algemene contractbepalingen uit Boek 6 BW (onder meer artikel 6:233 BW) en — waar persoonsgegevens worden verwerkt — de Algemene Verordening Gegevensbescherming (AVG). Artikel 28 AVG bepaalt dat de SaaS-leverancier als "verwerker" optreedt, wat een aparte schriftelijke verwerkersovereenkomst verplicht maakt.

In de praktijk wordt dit gecombineerd in drie lagen: algemene voorwaarden (algemene contractuele kaders), Service Level Agreement (prestaties en uptime), en verwerkersovereenkomst (AVG-verplichtingen). Sommige SaaS-leveranciers zoals AFAS integreren deze in één gebundeld document — dat werkt mits alle onderwerpen voldoende gedetailleerd worden uitgewerkt.

Essentiële SaaS-clausules: SLA, uptime en beschikbaarheid

De Service Level Agreement (SLA) regelt de prestatie-afspraken. Vijf elementen horen standaard in een SaaS-SLA te staan. Ten eerste: uptime-garantie. Marktstandaard voor zakelijke SaaS is 99,9% — dat komt neer op ongeveer 43 minuten downtime per maand (of 8,76 uur per jaar). Hogere niveaus (99,95% of 99,99%) gelden voor kritieke bedrijfssoftware en vergen redundante infrastructuur.

Ten tweede: meetmethode en meetperiode. Leg vast hoe uptime wordt gemeten (externe monitoring, welke eindpunten, welke statuscodes), over welke periode (maand, kwartaal) en wat telt als "downtime" (externe monitoring-respons, interne logs, klantmeldingen). Zonder expliciete meetmethode is elke uptime-garantie in praktijk onmeetbaar en dus onafdwingbaar.

Ten derde: uitzonderingen en onderhoudsvensters. Gepland onderhoud, noodmaatregelen bij beveiligingsincidenten, overmacht (DDoS-aanval, netwerk-issues bij upstream-provider, natuurrampen), en downtime veroorzaakt door de klant zelf (fout gebruik, integraties van derden) worden doorgaans uitgesloten van de uptime-meting. Ten vierde: service credits. Wat krijgt de klant bij onderschrijding? Gangbaar: 10-25% korting op de maandelijkse fee bij 95-99% uptime, hoger naarmate de onderschrijding groter is, met een maximum van 100% bij aanhoudende wanprestatie. Ten vijfde: incidentmanagement en support. Responstijden per prioriteitsniveau (kritiek, hoog, normaal), escalatiepad, en beschikbaarheidsvensters (werkdagen 09-17 uur, of 24/7 voor enterprise-klanten).

Verwerkersovereenkomst (DPA): AVG-verplichting voor elke SaaS-leverancier

Zodra een SaaS-leverancier persoonsgegevens voor de klant verwerkt — en dat is bij vrijwel elke SaaS-toepassing het geval — is een verwerkersovereenkomst (DPA, Data Processing Agreement) verplicht onder artikel 28 AVG. Dit is een aparte, schriftelijke overeenkomst die de verwerkersrelatie regelt. Sommige SaaS-leveranciers nemen de DPA op als hoofdstuk in hun algemene voorwaarden; anderen houden het strikt gescheiden. Juridisch telt de inhoud, niet de vorm.

Verplichte elementen uit artikel 28 lid 3 AVG zijn: (1) het onderwerp, de duur en de aard en het doel van de verwerking, (2) de soorten persoonsgegevens en categorieën van betrokkenen, (3) verplichting tot verwerking alleen op schriftelijke instructie van de verwerkingsverantwoordelijke, (4) vertrouwelijkheid-verplichting voor medewerkers, (5) beveiligingsmaatregelen conform artikel 32 AVG, (6) toestemmingsregeling voor subverwerkers (sub-processors zoals AWS, Azure, Google Cloud), (7) bijstand bij datalekken en verzoeken van betrokkenen, (8) teruggaaf of verwijdering van gegevens na beëindiging, en (9) audit-recht voor de klant.

In de praktijk publiceren SaaS-leveranciers een standaard-DPA op hun website, met een lijst van goedgekeurde subverwerkers en een wijzigingsprocedure. Voor kleine klanten (MKB) is dit acceptabel; grote enterprise-klanten eisen doorgaans onderhandelingsruimte en specifieke toestemmingsprocedures. Zie voor de bredere B2B/B2C-context ook B2B vs. B2C algemene voorwaarden.

Exit, data-portabiliteit en beëindiging

Een goede SaaS-AV regelt expliciet wat er met klantdata gebeurt bij beëindiging van het contract. Drie scenario's: opzegging door de klant, opzegging door de SaaS-leverancier en faillissement van de leverancier. Voor elk scenario moet helder zijn: (1) krijgt de klant een exportformaat van zijn data (CSV, JSON, gestandaardiseerde API-export), (2) binnen welke termijn na beëindiging (gangbaar: 30 dagen, soms 90 dagen bij grote datasets), (3) welke kosten zijn aan de export verbonden, en (4) wanneer worden de data definitief verwijderd uit productie- en back-up-systemen.

Artikel 20 AVG geeft consumenten een recht op data-portabiliteit voor persoonsgegevens die ze zelf hebben verstrekt, in een "gestructureerd, gangbaar en machineleesbaar formaat". Voor B2B-klanten geldt dit recht niet automatisch — het is een contractuele afspraak. Zet daarom expliciet een data-portability-clausule in je AV die beschrijft welke data (klantaccounts, rapportages, logboeken, instellingen) op welke manier beschikbaar blijft.

Vergeet niet een clausule voor continuering bij faillissement of insolventie: wie heeft toegang tot de data als jouw SaaS-bedrijf failliet gaat? Enterprise-klanten vragen steeds vaker om een escrow-regeling — de broncode en database-back-ups worden gedeponeerd bij een onafhankelijke derde die bij faillissement toegang aan klanten geeft. Voor MKB-klanten is dit meestal overkill; een simpele "curator mag data op kosten van de klant exporteren"-clausule volstaat.

Aansprakelijkheid en intellectueel eigendom in SaaS

SaaS-aansprakelijkheid vergt extra aandacht omdat de schade-potentie groter kan zijn dan bij traditionele dienstverlening. Als jouw software platligt en 100 klanten lijden elk €5.000 bedrijfsschade, loopt de cumulatieve schade snel op tot €500.000. Beperk aansprakelijkheid tot een redelijk maximum — gangbaar: het bedrag dat de klant in de 12 maanden voorafgaand aan het incident heeft betaald, met een absolute bovengrens van bijvoorbeeld €50.000. Voor de juiste formulering en grenzen zie ons artikel over aansprakelijkheidsbeperking in algemene voorwaarden.

Voor intellectueel eigendom: leg vast dat de klant een gebruiksrecht krijgt op de software voor de duur van het abonnement, en dat alle IE-rechten (broncode, data-structuren, algoritmes) bij jou blijven. Klantdata blijft eigendom van de klant. Voor door de klant aangeleverde content (logo's, teksten, afbeeldingen in de applicatie) vraag je een niet-exclusieve licentie om de service te kunnen leveren, inclusief de noodzakelijke subverwerkings-stappen door jouw hosting-partij.

Checklist: SaaS-AV compleet maken

Gebruik deze checklist voordat je je SaaS-AV publiceert of laat reviewen. Algemeen: omschrijving dienst, duur abonnement, opzegtermijn, prijsindexatie, betalingsvoorwaarden, geschillenbeslechting, toepasselijk recht. SLA: uptime-percentage, meetmethode, uitzonderingen, service credits, support-niveau, responstijden. AVG/DPA: verwerkingsdoel, datasoorten, beveiligingsmaatregelen, subverwerkers-lijst, datalek-procedure, audit-recht, data-verwijdering na afloop.

Data en exit: exportformaat, export-termijn, exportkosten, bewaartermijn na beëindiging, faillissements-regeling. Aansprakelijkheid: maximumbedrag per incident, cumulatief jaarmaximum, uitgesloten schadesoorten, verplichte verzekering, uitzonderingen voor opzet/roekeloosheid. IE en content: gebruiksrecht klant, eigendom broncode, licentie op klantcontent, restricties op gebruik (concurrentie, reverse engineering).

Laat je SaaS-AV periodiek reviewen tegen actuele jurisprudentie en wetswijzigingen — de AI Act (EU 2024/1689), de Data Act en de NIS2-richtlijn hebben in de periode 2024-2026 nieuwe eisen geïntroduceerd voor SaaS-leveranciers met bepaalde risicoprofielen. Een jurist met IT-specialisme of een gespecialiseerd platform kan dit in kaart brengen.

Let op: Dit artikel geeft algemene informatie over algemene voorwaarden voor SaaS-bedrijven en is geen juridisch advies. Voor jouw specifieke situatie laat je je algemene voorwaarden reviewen door een aangesloten jurist via lawsy.nl.

Veelgestelde vragen

Antwoorden op de meest gestelde vragen over av voor saas-bedrijven: specifieke clausules.

Heb ik als SaaS-bedrijf aparte algemene voorwaarden nodig?

Ja. SaaS combineert doorlopende software-beschikbaarheid, gegevensverwerking en afhankelijkheid van subverwerkers — dimensies die standaard dienstverlener-AV niet dekken. Je hebt drie documenten nodig (of één gebundelde set met alle onderdelen): algemene voorwaarden, Service Level Agreement (SLA) en verwerkersovereenkomst (DPA conform artikel 28 AVG). Zonder DPA loop je direct AVG-risico.

Wat is een goede uptime-garantie voor SaaS?

99,9% is de marktstandaard voor zakelijke SaaS en komt neer op circa 43 minuten downtime per maand of 8,76 uur per jaar. Voor kritieke bedrijfstoepassingen wordt 99,95% of 99,99% gehanteerd, wat redundante infrastructuur vereist. Leg altijd expliciet vast: de meetmethode (externe monitoring, welke eindpunten), de meetperiode (maand of kwartaal) en welke uitzonderingen gelden (gepland onderhoud, overmacht).

Moet ik als SaaS-leverancier een verwerkersovereenkomst sluiten?

Ja, vrijwel altijd. Zodra je persoonsgegevens verwerkt namens je klant — en dat is bij de meeste SaaS-toepassingen het geval — ben je "verwerker" in de zin van artikel 28 AVG en is een verwerkersovereenkomst (DPA) verplicht. Deze kan als apart document of als hoofdstuk in je algemene voorwaarden staan; juridisch telt de inhoud. Artikel 28 lid 3 AVG somt de negen verplichte elementen op.

Wat gebeurt met mijn data als ik het SaaS-contract opzeg?

Dat moet in de AV zijn geregeld. Gangbaar is een export-termijn van 30-90 dagen na beëindiging waarin je data in een gestandaardiseerd formaat (CSV, JSON of via API) kunt downloaden. Daarna worden de gegevens definitief verwijderd uit productie- en back-up-systemen. Controleer bij jouw leverancier: exportformaat, export-termijn, eventuele kosten voor de export, en de verwijdertermijn van back-ups.

Hoe beperk ik aansprakelijkheid in SaaS-voorwaarden?

Gangbaar is de aansprakelijkheid te beperken tot het bedrag dat de klant in de 12 maanden voorafgaand aan het incident heeft betaald, met een absolute bovengrens (bijvoorbeeld €50.000). Sluit gevolgschade zoveel mogelijk uit in B2B. Opzet en bewuste roekeloosheid mag je nooit uitsluiten. Zie voor de exacte formulering het artikel over aansprakelijkheidsbeperking in algemene voorwaarden.

Bronnen

Terug naar Algemene voorwaarden maken